XSS(跨站脚本攻击)漏洞解决⽅案
昨天师傅通知我,上周提交的代码中发现了XSS漏洞,让我解决⼀下,作为⼩⽩⿏的我还是硬着头⽪寻东问西的⼈解决⽅案,最终在公司两位前辈的指导下重写了代码解决了这个漏洞。现汇总如下:
⾸先,简单介绍⼀下XSS定义:
⼀ 、 XSS介绍
XSS是跨站脚本攻击(Cross Site Scripting)的缩写。为了和层叠样式表CSS(Cascading Style Sheets)加以区分,因此将跨站脚本攻击缩写为XSS。XSS是因为有些恶意攻击者往Web页⾯中插⼊恶意Script代码,当⽤户浏览该页⾯时,嵌⼊的Script代码将会被执⾏,从⽽达到恶意攻击⽤户的特殊⽬的。
⼆、XSS攻击⽬的及原理
由于对XSS攻击了解不是很深⼊,暂时罗列两条危害:
1) 被恶意⽤户发现恶意提交表单。
2) 其他⽤户看到这个包括恶意脚本的页⾯并执⾏,获取⽤户的cookie等敏感信息。
攻击原理图如下所⽰:
三、解决⽅案
1、简⽴HttpServletRequestWapper的包装类。
这个类的⽬的是对⽤户发送的请求进⾏包装,把request中包含XSS代码进⾏过滤
import java.util.Map;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;
public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {
HttpServletRequest orgRequest = null;
public XssHttpServletRequestWrapper(HttpServletRequest request) {
super(request);
}
/**
* 覆盖getParameter⽅法,将参数名和参数值都做xss过滤。
* 如果需要获得原始的值,则通过ParameterValues(name)来获取
replaceall()* getParameterNames,getParameterValues和getParameterMap也可能需要覆盖
*/
@Override
public String getParameter(String name) {
String value = Parameter(xssEncode(name));
if (value != null) {
value = xssEncode(value);
}
return value;
}
@Override
public String[] getParameterValues(String name) {
String[] value = ParameterValues(name);
if(value != null){
for (int i = 0; i < value.length; i++) {
value[i] = xssEncode(value[i]);
}
}
return value;
}
@Override
public Map getParameterMap() {
// TODO Auto-generated method stub
ParameterMap();
}
/**
* 覆盖getHeader⽅法,将参数名和参数值都做xss过滤。
* 如果需要获得原始的值,则通过Headers(name)来获取
* getHeaderNames 也可能需要覆盖
* 这⼀段代码在⼀开始没有注释掉导致出现406错误,原因是406错误是HTTP协议状态码的⼀种,
* 表⽰⽆法使⽤请求的内容特性来响应请求的⽹页。⼀般是指客户端浏览器不接受所请求页⾯的 MIME 类型。
*
@Override
public String getHeader(String name) {
String value = Header(xssEncode(name));
if (value != null) {
value = xssEncode(value);
}
return value;
}
**/
/**
* 将容易引起xss漏洞的半⾓字符直接替换成全⾓字符在保证不删除数据的情况下保存
* @param s
* @return过滤后的值
*/
private static String xssEncode(String value) {
if (value == null || value.isEmpty()) {
return value;
}
value = placeAll("eval\\((.*)\\)", "");
value = placeAll("[\\\"\\\'][\\s]*javascript:(.*)[\\\"\\\']", "\"\"");
value = placeAll("(?i)<script.*?>.*?<script.*?>", "");
value = placeAll("(?i)<script.*?>.*?</script.*?>", "");
value = placeAll("(?i)<.*?javascript:.*?>.*?</.*?>", "");
value = placeAll("(?i)<.*?\\s+on.*?>.*?</.*?>", "");
return value;
}
}
2、Filter过滤器实现对Request的过滤
import java.io.IOException;
import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import com.lyms.wxyl.base.wrapper.XssHttpServletRequestWrapper;
public class XssFilter implements Filter {
public void destroy() {
// TODO Auto-generated method stub
}
/**
* 过滤器⽤来过滤的⽅法
*/
public void doFilter(ServletRequest request, ServletResponse response,FilterChain chain) throws IOException, ServletException { //包装request
XssHttpServletRequestWrapper xssRequest = new XssHttpServletRequestWrapper((HttpServletRequest) request);
chain.doFilter(xssRequest, response);
}
public void init(FilterConfig filterConfig) throws ServletException {
// TODO Auto-generated method stub
}
}
3、在l中定义好Filter
<filter>
<filter-name>XssFilter</filter-name>
<filter-class>包名.XssFilter</filter-class>
</filter>
<filter-mapping>
<filter-name>XssFilter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
4、由于Filter类需要引⼊javax.servlet.api的jar包,因此还得在l配置jar包
<dependency>
<groupId>javax.servlet</groupId>
<artifactId>servlet-api</artifactId>
<version>${servlet.version}</version>
<scope>provided</scope>
</dependency>
<dependency>
<groupId>javax.servlet</groupId>
<artifactId>jsp-api</artifactId>
<version>2.0</version>
<scope>provided</scope>
</dependency>
<properties>
<servlet.version>3.0-alpha-1</servlet.version>
</properties>
OK,问题解决,希望这个东西也能对⼤家有所帮助。
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论